Предотвращение вторжений (IDS\IPS)
— мониторинг сетевого трафика
— обнаружение несанкционированного доступа и действий вредоносного ПО
— блокировка повторных угроз на периметре сети
— реализация различных методов предотвращения атаки
— сбор информации об атаке и оповещение специалистов
— логирование и анализ статистики атак
Принципы работы систем IDS\IPS
Система обнаружения вторжений (Intrusion Detection System - IDS) – программный или программно-аппаратный комплекс. Основная задача состоит в обнаружении проникновений в сетевую инфраструктуру организации и формирование оповещения для передачи в систему мониторинга информационной безопасности. Данные системы не блокируют действия злоумышленника, а только фиксируют их и передают информацию для дальнейшей обработки.
Более развитыми и в плане функционала являются системы предотвращения вторжений (Intrusion Prevention System – IPS). IPS также могут быть программными или программно-аппаратными системами. Подобные решения не только сообщают об вторжении, но и выполняют самостоятельные действия по блокировке вредоносных действий в сетевой инфраструктуре.
Зачастую IDS/IPS системы являются составной частью межсетевых экранов следующего поколения (NGFW) или систем универсального управления угрозами (UTM).
IDS/IPS-системы являются базовыми элементами сетевой безопасности в организациях любого масштаба. Современная сетевая инфраструктура организации работает с огромным объемом трафика, имеет большое количество точек доступа, угрозы сетевой безопасности становятся все более многочисленными и сложными. Все эти факторы не позволяют оперативно мониторить и реагировать на события в сети в ручном режиме. Автоматические системы мониторинга и реагирования позволяют обрабатывать большое количество событий без привлечения человеческих ресурсов и в значительной степени повысить уровень безопасности сетевой инфраструктуры организации.